2020年12月7日,中国银行保险监督管理委员会(以下简称“银保监会”)发布《互联网保险业务监管办法》(以下简称“《监管办法》”),对互联网保险业务的开展主体、业务规则和监督管理等作出明确规定,并首次要求在报送互联网保险经营情况时引入外部机构进行合规审计。2021年10月12日,银保监会发布《关于进一步规范保险机构互联网人身保险业务有关事项的通知》(以下简称“《通知》”),进一步细化了互联网人身保险业务的监管要求。本文将根据《监管办法》《通知》等规定对保险机构开展互联网保险业务的要求,结合近期银保监会对于互联网保险业务的处罚案例,对互联网保险业务外部合规审计进行简要探讨。
一.什么是互联网保险业务下的“外部合规审计”?
就适用主体的范围,结合《监管办法》第二条规定,需要向监管报送互联网保险业务经营情况并进行外部合规审计的主体如下:
点击可查看大图
二.外部合规审计的内容
三.外部合规审计重点问题分析
(一)互联网保险之营销宣传
从监管角度看,2012年发布的《人身保险销售误导行为认定指引》(保监发〔2012〕87号)采用“定义+列举”的方式对人身保险销售误导行为作出规定。2018年,银保监会发布《关于防范银行保险渠道产品销售误导的风险提示》,从消费者角度提示了营销误导风险;《关于加强自媒体保险营销宣传行为管理的通知》(银保监发〔2018〕27号)进一步加强对保险营销宣传行为的管理。2021年4月,银保监会办公厅发布《关于深入开展人身保险市场乱象治理专项工作的通知》(银保监办便函〔2021〕477号),对人身保险销售行为、从业人员管理等开展专项治理。2021年12月31日,为规范金融产品网络营销,保障金融消费者合法权益,人民银行等七部门联合发布《金融产品网络营销管理办法(征求意见稿)》,聚焦非法金融产品营销、虚假和误导宣传、违背社会公序良俗、适当性管理缺失、不正当竞争等五方面突出问题,金融产品的网络营销监管进一步趋严。因此,互联网保险的营销宣传活动将是外部合规审计的重点核查部分。
1.消费者保护与营销宣传限制
《监管办法》第十五条从保护消费者权益角度出发,对互联网保险营销宣传作出详细规定。在人员管理方面,保险机构应对从业人员发布的互联网保险营销宣传内容进行监测检查,并在显著位置标明所属保险机构全称及个人姓名、执业证编号等信息;在内容管理方面,从业人员发布的内容应由所属保险机构统一制作,不得进行不实陈述或误导性描述,不得片面比较保险产品价格和简单排名,不得与其他非保险产品和服务混淆,不得片面或夸大宣传,不得违规承诺收益或承诺承担损失;在信息发送管理方面,保险机构及其从业人员应慎重向消费者发送互联网保险产品信息,消费者明确表示拒绝接收的,不得向其发送互联网保险产品信息。
2.销售活动与自营网络平台
根据《监管办法》第十六条规定,保险机构应当通过其自营网络平台或其他保险机构的自营网络平台销售互联网保险产品或提供保险经纪、保险公估服务,特别是,投保页面须属于保险机构自营网络平台,即保险机构为经营互联网保险业务,依法设立的独立运营、享有完整数据权限的网络平台。
为加强对互联网保险销售的监管,切实保障消费者知情权、自主选择权、公平交易权,在《监管办法》发布以前,银保监会已经发布了《关于规范互联网保险销售行为可回溯管理的通知》(银保监发〔2020〕26号)(以下简称“《可回溯管理通知》”),该通知将保险行业的可回溯管理经验应用至互联网保险销售行为,并在第四条中明确规定,保险机构应当在自营网络平台通过设置销售页面实现互联网保险销售,不得在非自营网络平台设置销售页面。对于非自营网络平台,保险机构可以设置投保申请链接,但不得设置保险产品销售页面。前述规定为保险机构与第三方网络平台间的合作提供了路径,但其中如何界定合规合作的边界,仍是实务中探讨较多的问题。
(二)数据处理与个人信息保护合规
1.如何向客户履行告知义务
结合《个人信息保护法》规定,保险机构向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或姓名、联系方式等信息。然而,保险业务中涉及的合作主体繁多,穷尽列举在实践中可能存在一定难度,但如果保险机构将客户的个人信息提供给未列举的主体,则可能存在被监管部门认定为违规处理个人信息的风险。
2.如何取得客户的单独同意
结合《个人信息保护法》规定,保险机构向其他个人信息处理者提供其处理的个人信息的,应当取得客户的单独同意。为满足该项合规要求,保险机构在实践中往往需要以弹窗、勾选等形式取得客户的单独同意,该模式可能影响客户的消费体验,因而在履行该项合规义务时应当注意获取单独同意的方式方法,降低因履行合规义务而影响互联网保险业务开展效率的风险。
3.如何降低因合作机构导致的合规风险
4.如何确保集团内部的数据共享行为合规
(三)互联网人身保险的特别规定
1.业务条件及经营区域
《通知》在《监管办法》的基础上对保险机构开展人身保险业务提出了更高要求,满足《通知》对偿付能力、风险综合评级、责任准备金覆盖率、公司治理评级要求等条件的保险公司方可依规开展互联网人身保险业务。实践中,因超出经营区域从事业务活动而遭受处罚的保险机构也不在少数。
2.线上线下融合人身保险业务与一般互联网保险业务的区分
《通知》明确规定,“保险公司委托保险中介机构开展互联网人身保险业务,保险中介机构应为全国性机构。涉及线上线下融合开展人身保险业务的,不得使用互联网人身保险产品,不得将经营区域扩展至未设立分支机构的地区。”那如何区分线上线下融合人身保险业务与一般互联网保险业务呢?根据《通知》答记者问,通过保险公司线下渠道(包括个人代理渠道、银邮代理渠道和专业中介渠道等)应用移动设备和信息技术开展人身保险业务的,即应属于线上线下融合开展人身保险业务,销售行为监管应遵循《监管办法》第五条有关规定。
3.可回溯管理机制
《可回溯管理通知》规定,保险机构在自营网络平台上销售投保人为自然人的商业保险产品时,应当实施互联网保险销售行为可回溯管理。在《监管办法》第三十三条规定的销售和服务等主要行为信息全流程可回溯管理制度基础上,《通知》进一步对互联网人身保险业务进行可回溯管理作出细化规定。
四.结语
《监管办法》《通知》为规范互联网保险市场秩序、保护消费者合法权益带来深远影响,不断完善的互联网保险监管制度体系对保险机构提出了更高的合规要求。在《监管办法》实施后,保险机构即将迎来首个业务经营情况报送日(2022年4月30日)。外部合规审计只是监管手段,保证互联网保险业务合规运营才是根本,如何在合规的基础上把握互联网保险业务的发展机遇、加速保险行业的转型升级将成为保险机构面临的一项新的考验。